vulhub中fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
2024-06-26漏洞复现过程的记录
【异常】使用fastjson进行JSON解析出错,报错内容syntax error, expect {, actual [, pos 0 at
2024-06-26如果你使用的是特定类型的解析器(比如期望解析对象但实际提供的是数组),也可能导致这个错误。如果 JSON 字符串格式正确,但错误依然存在,那么可能是你的代码期望了错误的数据类型。确保你提供的 JSON 字符串是格式正确的,并且与你期望解析的数据类型匹配。你的代码可能期望解析一个对象,但实际上提供的 JSON 字符串是一个数组。使用在线的 JSON 验证工具来检查你的 JSON 字符串是否格式正确。检查你的解析代码,确保你使用正确的方法来解析 JSON 数据。_syntax error, expect {, actual [, pos 1383, fastjson-version 1.2.76
探索BurpSuite Extender快文(fastjson)插件:高效渗透测试的新武器
2024-06-24探索BurpSuite Extender快文(fastjson)插件:高效渗透测试的新武器项目地址:https://gitcode.com/uknowsec/BurpSuite-Extender-fastjson在网络安全的世界里,渗透测试是评估网站和应用程序安全性的重要步骤。而BurpSuite是一款备受推崇的Web应用安全测试工具,它提供了全面的功能来辅助测试人员进行漏洞发现和利用。现在..._burpsuite fastjson 插件
【无标题】json报错
2024-06-24操作失败,JSON parse error: Cannot deserialize value of type。返回的是array,就报这个错了。_json parse error: cannot deserialize value of type `com.alibaba.fastjson.jso
fastjson2 简单使用
2024-06-22fastjson2 中提供了 json 中对象和数组的对应表示,对象使用 JSONObject 表示,列表使用 JSONArray 表示,JSONObject、JSONArray 也都提供了相应的操作方法来实现获取值、添加值、更新值、删除值等操作(方法都很通俗易懂,get 开头就是获取值,set 开头的方法就是更新值,方法名和 remove 类似的就是删除操作,非常简单)。注解设置枚举类要序列化时使用的字段,下面的 jsonField 注解的使用这个章节中讲了。还有更简单的方法,就是使用。_fastjson2
fastjson升级为fastjson2
2024-06-20替换为 import com.alibaba.fastjson2.JSON;替换为:String json = JSON.toJSONString(this, DateRangeQueryBuilder.TIME_FORMAT);(1) pom修改。_fastjson升级fastjson2
nicetool--替代hutool和fastjson的工具库
2024-06-19如果你被hutool坑过、被fastjson坑过,nicetool帮你解脱!如果你想用稳定、Spring原生的工具类,nicetool已帮你封装!nicetool不生产工具,只是JDK和Spring的封装侠!_nicetool
海康威视综合安防管理平台 多处 fastjson反序列化RCE漏洞复现
2024-06-19由于海康威视综合安防管理平台使用了低版本的fastjson,攻击者可在未鉴权情况下获取服务器权限,且由于存在相关依赖,即使服务器不出网无法远程加载恶意类也可通过本地链直接命令执行,从而获取服务器权限。_海康威视综合安防管理平台 autologinticket 远程代码执行漏洞
Jetcache开启fastjson2序列化
2024-06-19Jetcache开启fastjson2序列化_jetcache开启fastjson2序列化
【随笔】若依com.alibaba.fastjson2.JSONObject cannot be cast to domain.model.LoginUser
2024-06-18ruoyi里面Redis使用fastjson序列化,fastjson支持AutoType功能,这个功能在序列化的JSON字符串中带上类型信息,在反序列化时,不需要传入类型,实现自动类型识别。ruoyi在Constants里面规定了需要支持自动类型的类名前缀。_com.alibaba.fastjson2.jsonobject cannot be cast to